Janvier 2022 - À présent - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Janvier 2022 - À présent

Depuis janvier 2022, AWS Control Tower a publié les mises à jour suivantes :

API pour garde-corps et une nouvelleAWS CloudFormationressource

1 septembre 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower.)

AWS Control Tower prend désormais en charge la gestion programmatique des contrôles, également appelée garde-corps, via un ensemble d'appels d'API. Un nouveauAWS CloudFormationLa ressource prend en charge la fonctionnalité de l'API pour les garde-corps. Pour de plus amples informations, veuillez consulter Automatisez les tâches dans AWS Control Tower et Création de ressources AWS Control Tower avec AWS CloudFormation.

Ces API vous permettent d'activer, de désactiver et de consulter l'état de l'application des contrôles dans la bibliothèque AWS Control Tower. Les API incluent la prise en charge deAWS CloudFormation, afin que vous puissiez gérerAWSRessources en tant que infrastructure-as-code (IAC). AWS Control Tower fournit des contrôles préventifs et de détection facultatifs qui expriment vos intentions politiques concernant l'ensemble d'une unité organisationnelle (UO) et chaqueAWScompte au sein de l'unité organisationnelle. Ces règles restent en vigueur lorsque vous créez de nouveaux comptes ou que vous apportez des modifications à des comptes existants.

API incluses dans cette version

  • EnableControl— Cet appel d'API active un contrôle. Il lance une opération asynchrone qui créeAWSles ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.

  • DisableControl— Cet appel d'API désactive un contrôle. Il lance une opération asynchrone qui supprimeAWSles ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.

  • GetControlOperation— Retourne le statut d'une zone particulièreEnableControlouDisableControlopération d'.

  • ListEnabledControls— Répertorie les contrôles activés par AWS Control Tower sur l'unité organisationnelle spécifiée et les comptes qu'elle contient.

Pour consulter la liste des noms de contrôle pour les garde-corps facultatifs, voirIdentifiants de ressources pour les API et les garde-fous, dans leAWS Control Tower.

CfCT prend en charge la suppression de stack

26 août 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower.)

Les personnalisations pour la AWS Control Tower (CfCT) prennent désormais en charge la suppression d'ensembles de piles, en définissant un paramètre dansmanifest.yamlfichier. Pour plus d'informations, consultez Suppression d'un ensemble de piles.

Important

Lorsque vous avez initialement défini la valeur deenable_stack_set_deletionpourtrue, la prochaine fois que vous invoquerez cFct,TOUSressources commençant par le préfixeCustomControlTower-, auxquels est associé le tag cléKey:AWS_Solutions, Value: CustomControlTowerStackSet, et qui ne sont pas déclarés dans le fichier manifeste, sont préparés pour être supprimés.

Conservation de journal personnalisée

15 août 2022

(Mise à jour requise pour la landing zone AWS Control Tower Pour plus d'informations, consultezMettre à jour votre zone de destination)

AWS Control Tower permet désormais de personnaliser la politique de rétention pour les compartiments Amazon S3 qui stockent votre AWS Control Tower CloudTrail journaux. Vous pouvez personnaliser votre politique de conservation des journaux Amazon S3, par tranches de jours ou d'années, jusqu'à un maximum de 15 ans.

Si vous choisissez de ne pas personnaliser la conservation de vos journaux, les paramètres par défaut sont de 1 an pour la journalisation standard du compte et de 10 ans pour la journalisation des accès.

Cette fonctionnalité est disponible pour les clients existants via AWS Control Tower lorsque vous mettez à jour ou réparez votre landing zone, et pour les nouveaux clients via le processus de configuration de la AWS Control Tower.

Réparation de dérive de rôle disponible

11 août 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower.)

AWS Control Tower prend désormais en charge la réparation de la dérive des rôles. Vous pouvez restaurer un rôle requis sans avoir à réparer complètement votre landing zone. Si ce type de réparation de dérive est nécessaire, la page d'erreur de la console indique les étapes à suivre pour restaurer le rôle, afin que votre landing zone soit à nouveau disponible.

AWS Control Tower

26 juillet 2022

(Mise à jour requise pour la landing zone d'AWS Control Tower vers la version 3.0. Pour plus d'informations, consultezMettre à jour votre zone de destination)

La version 3.0 d'AWS Control Tower landing zone inclut les mises à jour suivantes :

  • Possibilité de choisir le niveau de l'organisationAWS CloudTrailsentiers, ou pour vous désinscrire CloudTrail pistes gérées par AWS Control Tower

  • Deux nouvelles rambardes de détection pour déterminer siAWS CloudTrailenregistre l'activité dans vos comptes.

  • L'option d'agrégationAWS Configinformations sur les ressources mondiales de votre région d'origine uniquement.

  • Une mise à jour du garde-corps régional.

  • Une mise à jour de la politique gérée,AWSControlTowerServiceRolePolicy.

  • Nous ne créons plus le rôle IAMaws-controltower-CloudWatchLogsRoleet le CloudWatch groupe de journauxaws-controltower/CloudTrailLogsdans chaque compte inscrit. Auparavant, nous les avions créés dans chaque compte pour le suivi de son compte. Avec les traces d'organisation, nous n'en créons qu'une dans le compte de gestion.

Les sections suivantes fournissent plus de détails sur chaque nouvelle fonction.

Niveau de l'organisation CloudTrail pistes dans AWS Control Tower

Avec la version 3.0 de la landing zone, AWS Control Tower prend désormais en charge le niveau de l'organisationAWS CloudTrailpistes d'activité.

Lorsque vous mettez à jour la landing zone de votre AWS Control Tower vers la version 3.0, vous avez la possibilité de sélectionner le niveau de l'organisationAWS CloudTrailsentiers selon vos préférences en matière d'exploitation forestière ou pour vous désinscrire CloudTrail pistes gérées par AWS Control Tower Lorsque vous effectuez une mise à jour vers la version 3.0, AWS Control Tower supprimeles pistes existantes au niveau du compte pour les comptes inscritsaprès une période d'attente de 24 heures. AWS Control Tower ne supprime pas les traces au niveau du compte pour les comptes non inscrits. À partir de la landing zone 3.0, AWS Control Tower ne prendra plus en charge les pistes au niveau du compte quiAWSgère. AWS Control Tower crée plutôt un suivi au niveau de l'organisation, actif ou inactif, en fonction de votre sélection.

Note

Après la mise à jour vers la version 3.0 ou ultérieure, vous n'avez plus la possibilité de continuer avec le niveau du compte CloudTrail pistes gérées par AWS Control Tower

Aucune donnée de journalisation n'est perdue dans les journaux agrégés de votre compte, car les journaux restent dans le compartiment Amazon S3 existant où ils sont stockés. Seuls les sentiers sont supprimés, pas les journaux existants. Si vous sélectionnez l'option permettant d'ajouter des pistes au niveau de l'organisation, AWS Control Tower ouvre un nouveau chemin vers un nouveau dossier au sein de votre compartiment Amazon S3 et continue à envoyer les informations de journalisation à cet emplacement. Si vous choisissez de ne pas suivre les parcours gérés par AWS Control Tower, vos journaux existants restent dans le compartiment, sans modification.

Conventions de dénomination des chemins pour le stockage des journaux

  • Les journaux de suivi des comptes sont stockés avec le chemin suivant :/org id/AWSLogs/…

  • Les journaux de suivi de l'organisation sont stockés avec un chemin sous la forme suivante :/org id/AWSLogs/org id/…

La voie qu'AWS Control Tower crée au niveau de votre organisation CloudTrail les pistes sont différentes du chemin par défaut d'une piste créée manuellement au niveau de l'organisation, qui aurait la forme suivante :

  • /AWSLogs/org id/…

Pour plus d'informations sur CloudTrail dénomination des chemins, voirIdentification de votre CloudTrail fichiers journaux.

Astuce

Si vous envisagez de créer et de gérer vos propres pistes au niveau de votre compte, nous vous recommandons de créer de nouvelles pistes avant de terminer la mise à jour vers la version 3.0 de la landing zone d'AWS Control Tower, afin de commencer à vous enregistrer immédiatement.

À tout moment, vous pouvez choisir de créer un nouveau compte ou au niveau de l'organisation CloudTrailsentiers et gérez-les vous-même. Possibilité de choisir le niveau de l'organisation CloudTrailles pistes gérées par AWS Control Tower sont disponibles lors de toute mise à jour de landing zone vers la version 3.0 ou ultérieure. Vous pouvez opterdanset optezhors desentiers au niveau de l'organisation, chaque fois que vous mettez à jour votre landing zone.

Si vos journaux sont gérés par un service tiers, veillez à indiquer le nouveau nom du chemin d'accès à votre service.

Note

Pour les zones d'atterrissage à partir de la version 3.0 ou ultérieure, au niveau du compteAWS CloudTrailles pistes ne sont pas prises en charge par AWS Control Tower. Vous pouvez créer et gérer vos propres pistes au niveau de votre compte à tout moment, ou vous pouvez opter pour des pistes au niveau de l'organisation gérées par AWS Control Tower.

EnregistrementAWS Configressources de la région d'origine uniquement

Dans la version 3.0 de la landing zone, AWS Control Tower a mis à jour la configuration de base pourAWS Configafin qu'il n'enregistre les ressources mondiales que dans la région d'origine. Après la mise à jour vers la version 3.0, l'enregistrement des ressources pour les ressources globales est activé uniquement dans votre région d'origine.

Cette configuration est considérée comme une bonne pratique. Recommandé parAWS Security HubetAWS Config, et permet de réaliser des économies en réduisant le nombre d'éléments de configuration créés lors de la création, de la modification ou de la suppression de ressources globales. Auparavant, chaque fois qu'une ressource globale était créée, mise à jour ou supprimée, que ce soit par un client ou par unAWSservice, un élément de configuration a été créé pour chaque élément de chaque région gouvernée.

Deux nouvelles rambardes de détective pourAWS CloudTrailenregistrement

Dans le cadre du passage au niveau de l'organisationAWS CloudTrail, AWS Control Tower introduit deux nouvelles rambardes de détection qui vérifient si CloudTrail est activé. Le premier garde-corps aObligatoireet il est activé sur l'unité d'organisation de sécurité lors de la configuration ou des mises à jour de la landing zone de la version 3.0 et ultérieure. Le deuxième garde-corps aFortement recommandé, et il est éventuellement appliqué à toutes les unités d'organisation autres que l'unité d'organisation de sécurité, pour laquelle la protection obligatoire par garde-corps est déjà appliquée.

Rambarde obligatoire : Détectez si les comptes partagés relevant de l'unité organisationnelle de sécurité disposent d'AWS CloudTrail ou CloudTrail Lake activé

Rambarde fortement recommandée : Détecter si un compte possède AWS CloudTrail ou CloudTrail Lake activé

Pour plus d'informations sur les nouvelles rambardes, consultez laRéférence de protection.

Une mise à jour du garde-corps régional

Nous avons mis à jourNotActionliste dans la région refuser le garde-corps pour inclure les actions de certains services supplémentaires, énumérés ci-dessous :

“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,

Vidéo de procédure

Cette vidéo (3:07) explique comment mettre à jour la landing zone de votre AWS Control Tower existante vers la version 3. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

La page Organisation combine les vues des unités d'organisation et des comptes.

18 juillet 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

le nouveauOrganizationLa page d'AWS Control Tower affiche une vue hiérarchique de toutes les unités organisationnelles (UO) et de tous les comptes. Il combine les informations provenant duUOetComptespages, qui existaient auparavant.

Sur la nouvelle page, vous pouvez voir les relations entre les unités d'organisation mères et leurs unités d'organisation et comptes imbriqués. Vous pouvez agir sur les regroupements de ressources. Vous pouvez configurer l'affichage des pages. Par exemple, vous pouvez développer ou réduire la vue hiérarchique, filtrer la vue pour n'afficher que les comptes ou les unités d'organisation, choisir de n'afficher que vos comptes inscrits et vos unités d'organisation enregistrées, ou vous pouvez afficher des groupes de ressources connexes. Il est plus facile de s'assurer que l'ensemble de votre organisation est correctement mis à jour.

Inscription et mise à jour plus faciles pour les comptes individuels des membres

31 mai 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower vous permet désormais de mettre à jour et d'inscrire les comptes des membres individuellement. Chaque compte indique quand il est disponible pour une mise à jour, ce qui vous permet de vous assurer plus facilement que vos comptes de membres incluent la configuration la plus récente. Vous pouvez mettre à jour votre landing zone, remédier à la dérive de votre compte ou inscrire un compte dans une unité d'organisation enregistrée, en quelques étapes simplifiées.

Lorsque vous mettez à jour un compte, il n'est pas nécessaire d'inclure l'unité organisationnelle (UO) complète du compte dans chaque action de mise à jour. Par conséquent, le temps nécessaire à la mise à jour d'un compte individuel est considérablement réduit.

Vous pouvez inscrire des comptes aux unités d'organisation de la AWS Control Tower en bénéficiant d'une aide supplémentaire à partir de la console AWS Control Tower. Les comptes existants que vous inscrivez à AWS Control Tower doivent toujours répondre aux prérequis, et vous devez ajouter leAWSControlTowerExecutionRôle. Ensuite, vous pouvez choisir n'importe quelle unité d'organisation enregistrée et y inscrire le compte en sélectionnantS'inscrirebouton.

Nous avons séparé lesCompte Créer un comptefonctionnalités duCréationflux de travail du compte dans Account Factory, afin de mieux distinguer ces processus similaires et d'éviter les erreurs de configuration lors de la saisie des informations de compte.

AFT prend en charge la personnalisation automatique des comptes AWS Control Tower partagés

27 mai 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

Account Factory for Terraform (AFT) peut désormais personnaliser et mettre à jour par programmation tous vos comptes gérés par AWS Control Tower, y compris le compte de gestion, le compte d'audit et le compte d'archivage des journaux, ainsi que vos comptes inscrits. Vous pouvez centraliser la personnalisation de votre compte et la gestion des mises à jour, tout en protégeant la sécurité des configurations de vos comptes, car vous définissez le rôle qui effectue le travail.

L'existantAWSAFTExecutionrole déploie désormais des personnalisations sur tous les comptes. Vous pouvez configurer des autorisations IAM avec des limites qui limitent l'accès duAWSAFTExecutionrôle en fonction de votre activité et de vos exigences de sécurité. Vous pouvez également déléguer par programmation les autorisations de personnalisation approuvées pour ce rôle, pour les utilisateurs de confiance. Comme bonne pratique, nous vous recommandons de limiter les autorisations à celles qui sont nécessaires pour déployer les personnalisations requises.

AFT crée désormais le nouveauAWSAFTServicerôle permettant de déployer des ressources AFT dans tous les comptes gérés, y compris les comptes partagés et le compte de gestion. Les ressources étaient auparavant déployées par leAWSAFTExecutionRôle.

Les comptes partagés et de gestion de la AWS Control Tower ne sont pas approvisionnés via Account Factory. Ils ne disposent donc pas des produits provisionnés correspondants dansAWS Service Catalog. Par conséquent, vous ne pouvez pas mettre à jour les comptes partagés et de gestion dansAWS Service Catalog.

Opérations simultanées pour tous les garde-corps en option

18 mai 2022

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower prend désormais en charge les opérations simultanées pour les garde-fous préventifs, ainsi que pour les garde-corps de détection.

Grâce à cette nouvelle fonctionnalité, tout garde-corps en option peut désormais être installé ou retiré simultanément, améliorant ainsi la facilité d'utilisation et les performances de tous les garde-corps optionnels. Vous pouvez activer plusieurs garde-corps facultatifs sans attendre la fin des opérations individuelles de garde-corps. Les seules périodes limitées sont celles où AWS Control Tower est en train de configurer la landing zone ou d'étendre la gouvernance à une nouvelle organisation.

Fonctionnalités prises en charge pour les garde-corps préventifs :

  • Appliquez et retirez différents garde-corps préventifs sur la même unité d'organisation.

  • Appliquez et retirez simultanément différents garde-corps préventifs sur différentes unités d'organisation.

  • Appliquez et retirez le même garde-corps préventif sur plusieurs unités d'organisation, simultanément.

  • Vous pouvez appliquer et retirer simultanément tous les garde-corps préventifs et de détection.

Vous pouvez découvrir ces améliorations en matière de simultanéité dans toutes les versions publiées d'AWS Control Tower.

Lorsque vous appliquez des garde-fous préventifs à des unités d'organisation imbriquées, les garde-fous préventifs affectent tous les comptes et les unités d'organisation imbriqués sous l'unité d'organisation cible, même si ces comptes et unités d'organisation ne sont pas enregistrés auprès d'AWS Control Tower. Les garde-fous préventifs sont mis en œuvre à l'aide de politiques de contrôle des services (SCP), qui font partie deAWS Organizations. Les garde-corps de détection sont mis en œuvre en utilisantAWS ConfigRègles. Les garde-fous restent en vigueur lorsque vous créez de nouveaux comptes ou que vous apportez des modifications à vos comptes existants, et AWS Control Tower fournit un rapport récapitulatif sur la manière dont chaque compte est conforme à vos politiques activées. Pour obtenir une liste complète des garde-corps disponibles, consultez laRéférence de protection.

Comptes de sécurité et d'enregistrement existants

16 mai 2022

(Disponible lors de la configuration initiale.)

AWS Control Tower vous permet désormais de spécifier unAWScompte en tant que compte de sécurité ou de journalisation d'AWS Control Tower, lors du processus initial de configuration de la landing zone. Cette option évite à AWS Control Tower de créer de nouveaux comptes partagés. Le compte de sécurité, appeléAuditcompte par défaut, est un compte restreint qui permet à vos équipes de sécurité et de conformité d'accéder à tous les comptes de votre landing zone. Le compte de journalisation, appeléArchive du journalcompte par défaut, fonctionne comme un référentiel. Il stocke les journaux des activités de l'API et des configurations de ressources de tous les comptes de votre landing zone.

En intégrant vos comptes de sécurité et de journalisation existants, il est plus facile d'étendre la gouvernance de la AWS Control Tower à vos organisations existantes, ou de passer à la AWS Control Tower à partir d'une autre landing zone. L'option vous permettant d'utiliser les comptes existants s'affiche lors de la configuration initiale de la landing zone. Il inclut des contrôles au cours du processus de configuration, qui garantissent le succès du déploiement. AWS Control Tower met en œuvre les rôles et les contrôles nécessaires sur vos comptes existants. Il ne supprime ni ne fusionne aucune ressource ou donnée existante dans ces comptes.

Limites : Si vous envisagez d'apporter desAWScomptes dans AWS Control Tower en tant que comptes d'audit et d'archivage des journaux, et si ces comptes existentAWS Configressources, vous devez supprimer les ressources existantesAWS Configressources avant de pouvoir inscrire les comptes dans AWS Control Tower.

AWS Control Tower

22 avril 2022

(Mise à jour requise pour la landing zone d'AWS Control Tower vers la version 2.9. Pour plus d'informations, consultezMettre à jour votre zone de destination)

La version 2.9 d'AWS Control Tower landing zone met à jour le redirecteur de notifications Lambda pour utiliser l'environnement d'exécution Python version 3.9. Cette mise à jour corrige l'obsolescence de la version 3.6 de Python, prévue pour juillet 2022. Pour obtenir les informations les plus récentes, veuillez consulterla page d'obsolescence de Python.

AWS Control Tower

10 février 2022

(Mise à jour requise pour la landing zone d'AWS Control Tower vers la version 2.8. Pour plus d'informations, consultezMettre à jour votre zone de destination)

La version 2.8 de la landing zone d'AWS Control Tower ajoute des fonctionnalités qui s'alignent sur les récentes mises à jour duAWSBonnes pratiques de sécurité de base.

Dans cette version :

  • La journalisation des accès est configurée pour le compartiment de journaux d'accès du compte Log Archive, afin de suivre l'accès au compartiment de journal d'accès S3 existant.

  • Le support pour la politique de cycle de vie est ajouté Le journal d'accès du compartiment de journaux d'accès S3 existant est défini sur une durée de conservation par défaut de 10 ans.

  • En outre, cette version met à jour AWS Control Tower pour utiliser leAWSService Linked Role (SLR) fourni parAWS Config, dans tous les comptes gérés (à l'exception du compte de gestion), afin que vous puissiez configurer et gérer les règles de Config correspondantesAWS Configbonnes pratiques d'. Les clients qui ne procèdent pas à la mise à niveau continueront à utiliser leur rôle actuel.

  • Cette version rationalise le processus de Config KMS d'AWS Control Tower pour le chiffrement des données de configuration et améliore la messagerie d'état associée dans CloudTrail.

  • La version inclut une mise à jour du garde-corps Region Deny, afin de permettre laroute53-application-recoveryfonction dansus-west-2.

  • Mise à jour: Le 15 février 2022, nous avons supprimé la file d'attente des lettres mortes pour les fonctions AWS Lambda.

Informations supplémentaires :

  • Si vous désactivez votre landing zone, AWS Control Tower ne supprime pasAWS Configrôle lié à un service.

  • Si vous déprovisionnez un compte Account Factory, AWS Control Tower ne supprime pas leAWS Configrôle lié à un service.

Pour mettre à jour votre landing zone vers la version 2.8, accédez auParamètres de zone d'atterrissagepage, sélectionnez la version 2.8, puis choisissezMise à jour. Après avoir mis à jour votre landing zone, vous devez mettre à jour tous les comptes régis par AWS Control Tower, comme indiqué dansGestion des mises à jour de configuration dans AWS Control Tower.